Daha önceki casus yazılımlarda bir linke tıklanması gerekiyordu. Ancak ‘Pegasus’ta buna gerek yok. Hedefte olan kişinin ruhu duymadan, NSO müşterisi telefonu ele geçirebiliyor.
Casus yazılımın çalışma mantığını yayınlayan yine İsrail’in köklü gazetelerinden Haaretz oldu. Haaretz aynı zamanda ‘Pegasus skandalı’nı ortaya çıkaran 17 medya kuruluşlarından birisiydi.
17 medya kuruluşu ortak çalışmayla NSO Group adlı şirketin otoriter rejimlere casus bir yazılım sattığını ortaya çıkarmıştı. Yazılım üzerinden insan hakları aktivistleri, gazeteciler ve avukatların izlendiği belirtilmişti. Pegasus’un 50 binden fazla telefona sızdığı bildirilmiş, Türkiye’den de yaklaşık 500 numaranın hedefte olduğu kaydedilmişti.
Telefonların çoğunda NSO izi
Haaretz’in haberine göre Uluslararası Af Örgütü’nün laboratuvarında Pegasus’un sızdığı telefonların adli analizleri yapıldı. Numaralarının seçimi sırasında potansiyel kurbanlar tarafından kullanılan iPhone’ların yüzde 85’inden fazlasında NSO yazılım etkinliğinin izleri ortaya çıktı.
Uluslararası Af Örgütü güvenlik laboratuvarı müdürü Claudio Guarnieri, inceleme hakkında şöyle konuştu: “Aslında bir sürü farklı parça var ve hepsi birbirine çok iyi uyuyor. Baktığımız şeyin Pegasus olduğuna dair hiçbir şüphe yok çünkü özellikleri çok bariz ve gördüğümüz tüm izler birbirini doğruluyor.”
‘Sıfır tıklama’ sistemi
Guarnieri, Pegasus’ta, casus yazılımın yüklemesi için bir bağlantıya tıklanması yerine, ‘sıfır tıklama’ olarak adlandırılan bir sistemin kullanıldığını söyledi. Böylece müşterinin herhangi bir müdahalesi olmadan yazılımın telefonun kontrolünü ele geçirmesini sağlanıyor.
Şifreli mesaj uygulamalarına bile erişebiliyor
Analize göre Pegasus telefona başarıyla yüklendikten sonra, NSO müşterileri cihaza tam erişim sağlıyor. Casus yazılım Signal, WhatsApp ve Telegram gibi şifreli mesajlaşma uygulamalarına bile erişebiliyor. Pegasus, cihaz kapanana kadar istendiği zaman aktif hale getirilebiliyor. Telefon tekrar açılır açılmaz yeniden virüs bulaşabiliyor.
Harvard’da araştırmacı ve kriptolog olan Bruce Schneler yazılı şöyle özetledi: “Birisi omzunuzun üzerinden okuyorsa, ne tür şifreleme kullanıldığı önemli değil”
Hükümetlerden ‘vur kaç’ stratejisi
Guarnieri’ye göre Pegasus, diğer şeylerin yanı sıra uzaktan ses ve video kaydedebiliyor, mesajlaşma uygulamalarından veri çekebiliyor, konum takibi için GPS’i kullanabiliyor ve şifreleri, kimlik doğrulama anahtarlarını ele geçirebiliyor. EFF siber güvenlik direktörü olan Eva Galperin, casusluk yapan hükümetlerin son yıllarda tespit edilmekten kaçınmak için ‘vur ve kaç’ stratejisine doğru ilerlediğini söyledi: Telefonlara bulaşmak, verileri sızdırmak ve cihazdan hızlıca çıkmak.
İlk saldırı 2016’da
Gazetecilere karşı ilk ‘Pegasus’ saldırısı 2016’da tespit edilmişti.
Ocak 2016’da, Meksika’da araştırmacı gazeteci Carmen Aristegui, eski devlet başkanı Enrique Pena Nieto’nun mülküyle ilgili bir haber yayınladıktan sonra şüpheli bağlantılar içeren mesajlar almaya başlamıştı.
Aristegui, kötü niyetli Pegasus bağlantıları içeren 20’den fazla kısa mesaj almıştı. Dijital haklar grubu Citizen Lab, söz konusu siber saldırı ile ilgili ayrıntıları 2017’de ‘Hükümet Casusluğu’ raporunda açıklamıştı. Rapora göre, aynı dönemde, meslektaşları Sebastian Barragan ve Rafael Cabrera ve oğlu Emilio Aristegui’ninkiler de dahil olmak üzere, birkaç meslektaşının ve aile üyesinin telefonları da kötü niyetli bağlantılar içeren kısa mesajlarla hedef alınmıştı.
Aristegui’ye yakın olan ve şirket tarafından hedeflenen üç kişi vardı: Kız kardeşi Teresa Aristegui, CNN yapımcısı Karina Maciel ve eski asistanı Sandra Nogales.
Aristegui başından geçenleri şöyle anlatmıştı: “Listede bana yakın olanları görmek büyük bir şoktu. Altı kardeşim var ama en az biri, ablam sisteme girdi. Benim hakkımda her şeyi bilen – programıma, tüm bağlantılarıma, günüme, saatten saatime erişimi olan- asistanım Sandra Nogales de sisteme girildi.”
